[CISA 문제풀이] 틀린문제 (7)

문제1:
은행의 온라인 뱅킹에는 법인 고객 계좌(높은 금액)와 소규모 비즈니스 계좌(낮은 금액)가 혼합되어 있습니다. 이러한 계좌를 감사할 때 IS 감사원이 사용할 가장 적합한 샘플링 접근법은 무엇입니까?
• A. 비계층화된 단위 평균 샘플링(Unstratified mean per unit sampling)
• B. 계층화된 단위 평균 샘플링(Stratified mean per unit sampling) (정답)
• C. 고객 단위 샘플링(Customer unit sampling)
• D. 차이 추정 샘플링(Difference estimation sampling)

👉 **계층화된 단위 평균 샘플링(Stratified mean per unit sampling)**이 가장 적합합니다. 이 방법은 데이터 세트를 가치(예: 높은 금액과 낮은 금액) 또는 중요성에 따라 계층으로 나누고, 각 계층에서 개별 샘플을 추출하여 분석합니다. 이를 통해 법인 고객 계좌와 소규모 비즈니스 계좌의 서로 다른 특성을 반영하고, 감사 정확도를 높일 수 있습니다.

나머지 항목이 오답인 이유:
• A. 비계층화된 단위 평균 샘플링: 계층화 없이 모든 계정을 동일하게 취급하므로, 금액 차이가 큰 계좌 간의 다양성을 반영하지 못합니다.
• C. 고객 단위 샘플링: 고객 단위 샘플링은 모든 고객 계좌를 동일하게 처리하므로, 중요도와 금액 차이를 고려하지 않습니다.
• D. 차이 추정 샘플링: 차이 추정 샘플링은 예상 값과 실제 값 간의 차이를 측정하는 데 유용하지만, 금액별 계층화를 필요로 하는 경우에는 적합하지 않습니다.

---

문제2:
테스트를 위한 샘플에 가장 큰 고객 잔액 80개와 나머지의 랜덤 샘플이 포함되어야 합니다. IS 감사원이 권장해야 할 방법은 무엇입니까?
• A. 데이터베이스 쿼리를 실행한다.
• B. 일반화된 감사 소프트웨어(Generalized Audit Software)를 사용한다. (정답)
• C. 통합 테스트 시설(ITF)을 개발한다.
• D. 난수 생성기를 활용한다.

👉 일반화된 감사 소프트웨어(Generalized Audit Software)를 사용하는 것이 가장 적합합니다. 이러한 소프트웨어는 데이터베이스에서 특정 조건(예: 가장 큰 잔액 80개)을 필터링하고 나머지에서 랜덤 샘플을 추출하는 데 효과적입니다. 이 방법은 정확성과 효율성을 보장하며, 데이터 조작에 대한 신뢰성을 제공합니다.

나머지 항목이 오답인 이유:
• A. 데이터베이스 쿼리를 실행한다: 쿼리를 통해 샘플을 추출할 수 있지만, 이를 작성하고 실행하는 데 전문성이 필요하며, 감사 목적에 맞는 추가 기능을 제공하지 않을 수 있습니다.
• C. 통합 테스트 시설(ITF)을 개발한다: ITF는 운영 데이터와 별도로 테스트 데이터를 생성하는 데 사용되며, 샘플링과는 직접 관련이 없습니다.
• D. 난수 생성기를 활용한다: 난수 생성기는 랜덤 샘플을 추출하는 데 유용하지만, 특정 조건(예: 가장 큰 80개)을 반영하는 데는 제한적입니다.

---

문제3:
IT 벤더의 서비스 수준(SLA)을 모니터링하기 위한 가장 적합한 기준은 무엇입니까?
• A. 성과 지표(Performance metrics) (정답)
• B. 벤더에 대한 불시 방문
• C. 서비스 감사인의 보고서(Service auditor’s report)
• D. 벤더와의 인터뷰

👉 **성과 지표(Performance metrics)**가 IT 벤더의 서비스 수준을 모니터링하는 데 가장 적합합니다. SLA(Service Level Agreement)에 정의된 성과 지표는 서비스의 질과 신뢰성을 측정하기 위한 객관적인 기준을 제공합니다. 이를 통해 벤더가 계약된 서비스 수준을 충족하고 있는지 지속적으로 평가할 수 있습니다.

나머지 항목이 오답인 이유:
• B. 벤더에 대한 불시 방문: 불시 방문은 벤더의 운영 상태를 파악하는 데 유용할 수 있지만, 지속적이고 체계적인 서비스 수준 평가에는 적합하지 않습니다.
• C. 서비스 감사인의 보고서(Service auditor’s report): 서비스 감사 보고서는 중요한 정보를 제공하지만, 실시간 성과를 모니터링하는 데는 적합하지 않습니다.
• D. 벤더와의 인터뷰: 인터뷰는 벤더의 피드백을 얻는 데 유용하지만, 서비스 수준 준수를 객관적으로 측정할 수 없습니다.

---

문제4:
IT 부서에서 소프트웨어를 구매하고 네트워크 환경에 설치하는 경우, 소프트웨어 라이선스 문제를 가장 잘 탐지할 수 있 는 방법은 무엇입니까?
• A. 각 기기의 소프트웨어를 구매된 소프트웨어 목록과 비교한다.
• B. 설치된 개별 소프트웨어 인스턴스 수를 라이선스 인벤토리와 비교한다. (정답)
• C. 각 기기의 소프트웨어 목록을 검토하여 미인가된 소프트웨어의 알려진 버전을 확인한다.
• D. 사용된 메터링 소프트웨어가 없는지 확인하기 위한 보고서를 검토한다.

👉 설치된 개별 소프트웨어 인스턴스 수를 라이선스 인벤토리와 비교하는 것이 소프트웨어 라이선스 문제를 탐지하는 가장 효과적인 방법입니다. 이 방법은 조직 내에서 설치된 소프트웨어가 보유한 라이선스 수와 일치하는지 확인하여, 초과 설치 또는 미인가된 설치를 식별할 수 있습니다.

나머지 항목이 오답인 이유:
• A. 각 기기의 소프트웨어를 구매된 소프트웨어 목록과 비교한다: 구매된 소프트웨어 목록과 비교하는 것은 유용할 수 있으나, 라이선스 수와 설치 수의 불일치를 직접적으로 확인하지는 못합니다.
• C. 각 기기의 소프트웨어 목록을 검토하여 미인가된 소프트웨어의 알려진 버전을 확인한다: 이는 불법 소프트웨어 사용을 확인할 수 있지만, 라이선스 적합성을 전체적으로 평가하는 데는 부족합니다.
• D. 사용된 메터링 소프트웨어가 없는지 확인하기 위한 보고서를 검토한다: 메터링 소프트웨어의 부재 여부를 확인하는 것은 라이선스 관리와는 간접적인 관련만 있습니다.

---

문제5:
IS 감사원이 조직에서 임시적(ad hoc) 취약점 스캐닝이 실행되고 있으며, 조직의 보안 위협 및 취약점 관리 프로그램과 명확히 정렬되지 않은 것을 발견했습니다. 이 분야를 개선하기 위해 가장 적합한 방법은 무엇입니까?
• A. 위협 및 취약점 관리 기능을 제3자에게 아웃소싱한다.
• B. 중요 시스템에 영향을 미칠 수 있는 취약점 목록을 유지한다.
• C. 능력 성숙도 모델(Capability Maturity Model)을 사용하여 최적화된 프로그램으로 가는 경로를 식별한다. (정답)
• D. 보안 로깅을 구현하여 위협 및 취약점 관리를 강화한다.

👉 능력 성숙도 모델(Capability Maturity Model)을 사용하여 최적화된 프로그램으로 가는 경로를 식별하는 것이 가장 적합합니다. 성숙도 모델은 현재 상태를 평가하고, 프로세스를 더 성숙하고 체계적으로 발전시키기 위한 명확한 로드맵을 제공합니다. 이를 통해 임시적인 스캐닝에서 벗어나 조직의 전체적인 보안 프로그램과 정렬된 체계적인 취약점 관리 프로세스를 구축할 수 있습니다.

나머지 항목이 오답인 이유:
• A. 위협 및 취약점 관리 기능을 제3자에게 아웃소싱한다: 아웃소싱은 실행력은 높일 수 있으나, 조직의 내부 관리 체계 성숙도를 높이는 데는 도움이 되지 않습니다.
• B. 중요 시스템에 영향을 미칠 수 있는 취약점 목록을 유지한다: 취약점 목록 관리는 중요하지만, 임시적 스캐닝과 조직 보안 프로그램 간의 격차를 해결하는 근본적인 해결책이 아닙니다.
• D. 보안 로깅을 구현하여 위협 및 취약점 관리를 강화한다: 보안 로깅은 위협 감지와 대응에 도움이 되지만, 스캐닝 프로세스와 보안 프로그램의 정렬을 개선하는 데 직접적으로 기여하지는 않습니다.

---

문제6:
구성 및 릴리스 관리 시스템의 핵심 기능은 무엇입니까?
• A. 특정 변경으로 영향을 받을 다른 구성 항목 식별 (정답)
• B. 구성 설정의 취약점 식별
• C. 샌드박스 환경에 구성 변경 배포
• D. 데이터베이스, 서버 및 인프라에 대한 권한 관리

👉 특정 변경으로 영향을 받을 다른 구성 항목을 식별하는 것이 구성 및 릴리스 관리 시스템의 핵심 기능입니다. 이러한 시스템은 변경 관리 프로세스에서 구성 요소 간의 상호 종속성을 추적하고, 변경 사항이 다른 구성 항목에 미칠 영향을 평가하는 데 사용됩니다.

나머지 항목이 오답인 이유:
• B. 구성 설정의 취약점 식별: 취약점 식별은 보안 관리 시스템의 주요 기능으로, 구성 관리와는 별개입니다.
• C. 샌드박스 환경에 구성 변경 배포: 샌드박스 배포는 테스트 환경에서 이루어지지만, 구성 및 릴리스 관리 시스템의 핵심 목적은 아닙니다.
• D. 데이터베이스, 서버 및 인프라에 대한 권한 관리: 권한 관리는 주로 접근 제어 시스템(예: IAM)에서 다루는 문제이며, 구성 및 릴리스 관리의 핵심 기능은 아닙니다.

---

문제7:
여러 수작업 데이터 입력 시스템을 인공지능(AI) 시스템으로 대체하는 프로젝트를 검토할 때, IS 감사원이 가장 우려해야 할 사항은 무엇입니까?
• A. 향후 작업 업데이트
• B. 엔터프라이즈 아키텍처(EA)
• C. 작업 처리 용량 출력
• D. 직원 유지(Employee retention) (정답)

👉 **직원 유지(Employee retention)**가 IS 감사원의 가장 큰 우려 사항이 되어야 합니다. AI 시스템 도입은 수작업 데이터 입력 작업을 자동화하여 기존 직원의 역할에 중대한 영향을 미칠 수 있습니다. 이는 직원 불안, 저항, 이직률 증가로 이어질 가능성이 있으며, 조직의 전반적인 운영과 프로젝트 성공에 부정적인 영향을 미칠 수 있습니다.

나머지 항목이 오답인 이유:
• A. 향후 작업 업데이트: 작업 업데이트는 AI 시스템 구현 후 개선이 필요한 부분이 될 수 있지만, 직원 유지 문제만큼 심각한 우려는 아닙니다.
• B. 엔터프라이즈 아키텍처(EA): EA는 AI 시스템 통합 시 중요한 요소이지만, 프로젝트 성공에 직접적으로 영향을 미치는 인적 요인보다 덜 우선적입니다.
• C. 작업 처리 용량 출력: AI 시스템 도입으로 작업 처리 용량은 일반적으로 향상됩니다. 이는 프로젝트의 긍정적인 결과일 가능성이 높아 우려 사항이 아닙니다.

---

문제8:
IS 감사원이 모기지 기원 팀이 공유 저장소를 통해 고객 대출 신청서를 받는 것을 관찰했습니다. 이 프로세스에서 가장 큰 개인정보 위험을 초래하는 문제는 무엇입니까?
• A. 공유 저장소에 이중 접근 통제가 없다. (정답)
• B. 고객 데이터가 기원 시스템에서 업데이트되지 않는다.
• C. 대출 문서가 시스템에서 삭제되지 않는다.
• D. 중복 대출 신청서가 주목되지 않는다.

👉 공유 저장소에 이중 접근 통제가 없다는 것이 가장 큰 개인정보 위험입니다. 이중 접근 통제가 없으면, 승인되지 않은 사용자나 내부 직원이 민감한 고객 정보를 쉽게 액세스하거나 유출할 가능성이 높아지며, 이는 데이터 프라이버시 및 규정 준수 위반의 주요 원인이 될 수 있습니다.

나머지 항목이 오답인 이유:
• B. 고객 데이터가 기원 시스템에서 업데이트되지 않는다: 이는 데이터 무결성과 관련된 문제로, 개인정보 위험보다 운영상의 문제가 더 큽니다.
• C. 대출 문서가 시스템에서 삭제되지 않는다: 데이터 보존 문제는 중요하지만, 실시간 데이터 보호나 무단 접근 문제만큼의 즉각적인 프라이버시 위험을 초래하지 않습니다.
• D. 중복 대출 신청서가 주목되지 않는다: 중복 신청서는 프로세스 효율성과 관련된 문제로, 개인정보 유출 위험과는 직접적인 관련이 없습니다.

---

문제9:
은행의 거래 서비스가 인터넷과 모바일 뱅킹을 통해 독점적으로 이루어지며, 기본 사이트와 재해 복구 사이트 모두 동일한 인터넷 서비스 제공업체(ISP)에 의해 지원됩니다. 이 상황에서 위험을 최소화하기 위한 가장 좋은 방법은 무엇입니까?
• A. 거래 데이터를 2시간마다 점진적으로 백업한다.
• B. 기본 사이트와 재해 복구 사이트 간의 실시간 데이터 동기화를 수행한다.
• C. 현재 ISP와 99.99% 연결 가용성을 요구하는 계약을 개정한다.
• D. 재해 복구 사이트 연결을 보장하기 위해 두 번째 ISP와 계약을 체결한다. (정답)

👉 재해 복구 사이트 연결을 보장하기 위해 두 번째 ISP와 계약을 체결하는 것이 가장 적합한 방법입니다. 동일한 ISP를 사용하는 경우, ISP 장애가 발생하면 기본 사이트와 재해 복구 사이트 모두 연결이 끊길 위험이 있습니다. 두 번째 ISP를 사용하면 네트워크 연결의 단일 장애 지점을 제거하고, 복원력을 강화할 수 있습니다.

나머지 항목이 오답인 이유:
• A. 거래 데이터를 2시간마다 점진적으로 백업한다: 백업은 데이터 보호를 위해 중요하지만, 네트워크 연결 문제를 해결하지 못합니다.
• B. 기본 사이트와 재해 복구 사이트 간의 실시간 데이터 동기화를 수행한다: 실시간 데이터 동기화는 데이터 일관성을 유지하는 데 유용하지만, ISP 장애로 인한 문제는 해결하지 못합니다.
• C. 현재 ISP와 99.99% 연결 가용성을 요구하는 계약을 개정한다: SLA 개선은 가용성을 보장할 수 있지만, ISP 자체의 장애 위험을 제거하지 못합니다.

---

문제10:
IS 감사인이 통제의 효과성을 평가할 때 가장 유용한 도구는 무엇입니까?
• A. 경영진과의 인터뷰
• B. 통제 자기 평가(Control self-assessment, CSA)
• C. 통제 테스트 결과 (정답)
• D. 통제 매트릭스(Control matrix)

👉 통제 테스트 결과가 통제의 효과성을 평가하는 데 가장 유용합니다. 통제 테스트는 통제가 설계대로 작동하고 비즈니스 목표를 달성하는 데 적합한지를 실질적으로 검증합니다. 테스트 결과는 통제의 실제 성능을 보여주며, 객관적이고 신뢰할 수 있는 데이터를 제공합니다.

나머지 항목이 오답인 이유:
• A. 경영진과의 인터뷰: 인터뷰는 통제 목적과 설계에 대한 이해를 도울 수 있지만, 통제의 실제 효과성을 직접 평가하지는 않습니다.
• B. 통제 자기 평가(CSA): CSA는 조직의 자가 평가로 유용할 수 있지만, 감사인의 독립적이고 객관적인 평가만큼 신뢰할 수는 없습니다.
• D. 통제 매트릭스(Control matrix): 통제 매트릭스는 통제와 관련된 정보를 구조화하여 제공하지만, 통제의 실제 작동 여부를 검증하지는 않습니다.

---

문제11:
조직에 허용 사용 정책(acceptable use policy)이 있지만, 사용자가 이를 공식적으로 인정하지 않는 경우 가장 큰 위험은 무엇입니까?
• A. 업계 표준 위반
• B. 준수 측정을 위한 데이터 부족
• C. 문서 요구사항의 미준수
• D. 사용자 책임 부족 (정답)

👉 사용자 책임 부족이 가장 큰 위험입니다. 사용자가 정책을 공식적으로 인정하지 않으면, 정책 위반 시 사용자에게 책임을 묻기 어려워지고, 조직의 정책 집행력이 약화됩니다. 이는 정책 위반에 대한 대응 및 예방 조치에 큰 영향을 미칩니다.

나머지 항목이 오답인 이유:
• A. 업계 표준 위반: 업계 표준 위반은 중요한 문제일 수 있지만, 사용자 승인 부재로 인해 즉각적으로 발생하는 위험은 아닙니다.
• B. 준수 측정을 위한 데이터 부족: 사용자의 공식 인정은 준수 데이터를 생성하는 데 도움이 될 수 있지만, 가장 중요한 위험은 아닙니다.
• C. 문서 요구사항의 미준수: 문서 요구사항 준수는 중요하지만, 사용자 책임 부족이 더 큰 영향을 미칩니다.

---

문제12:
데이터 분석 프로세스를 설계할 때, 데이터 추출 및 검증 자동화에서 이해관계자의 역할은 무엇입니까?
• A. 적절한 소프트웨어 패키지를 구매하기 위한 자원을 할당한다.
• B. 정보에 입각한 결정을 내리는 데 필요한 데이터 요소를 식별한다. (정답)
• C. 데이터 분석 도구가 적절한 데이터를 평가하기 위한 워크플로를 설계한다.
• D. 데이터 분석 이니셔티브에 대한 비즈니스 사례 분석을 수행한다.

👉 정보에 입각한 결정을 내리는 데 필요한 데이터 요소를 식별하는 것이 이해관계자의 주요 역할입니다. 이해관계자는 데이터 분석의 목표와 필요성을 가장 잘 이해하고 있기 때문에, 분석 프로세스가 비즈니스 목표에 부합하도록 필요한 데이터 요소를 명확히 정의하는 것이 중요합니다.

나머지 항목이 오답인 이유:
• A. 적절한 소프트웨어 패키지를 구매하기 위한 자원을 할당한다: 소프트웨어 자원의 할당은 일반적으로 IT 부서의 역할이며, 이해관계자의 주요 책임은 아닙니다.
• C. 데이터 분석 도구가 적절한 데이터를 평가하기 위한 워크플로를 설계한다: 워크플로 설계는 기술 팀의 역할로, 이해관계자가 직접 관여할 필요는 없습니다.
• D. 데이터 분석 이니셔티브에 대한 비즈니스 사례 분석을 수행한다: 비즈니스 사례 분석은 데이터 분석 프로세스 설계 이전에 이루어지는 활동으로, 자동화 설계 단계에서의 이해관계자 역할과는 다릅니다.

---

문제13:
IS 감사인이 **관리자의 사후 구현 검토(post-implementation review)**가 효과적이었다는 것을 가장 잘 나타내는 지표는 무엇입니까?
• A. 내부 감사 후속 조치에서 별다른 발견 사항이 없었다.
• B. 교훈이 문서화되고 적용되었다. (정답)
• C. 사후 구현 검토가 시스템 개발 생명주기(SDLC)의 공식 단계이다.
• D. 비즈니스 및 IT 이해관계자가 사후 구현 검토에 참여했다.

👉 교훈이 문서화되고 적용된 것이 사후 구현 검토의 효과성을 가장 잘 나타냅니다. 효과적인 사후 검토는 프로젝트 중 발생한 문제와 성공 사례를 분석하여 이를 문서화하고, 향후 프로젝트에 적용해 지속적인 개선을 가능하게 합니다. 이를 통해 조직은 이전의 경험을 활용하여 더 나은 결과를 얻을 수 있습니다.

나머지 항목이 오답인 이유:
• A. 내부 감사 후속 조치에서 별다른 발견 사항이 없었다: 후속 조치가 발견 사항 없이 완료되었더라도, 이것이 사후 검토의 효과성을 보장하는 직접적인 증거는 아닙니다.
• C. 사후 구현 검토가 SDLC의 공식 단계이다: SDLC에 포함되는 것은 중요하지만, 검토의 효과성을 직접적으로 나타내지 않습니다.
• D. 비즈니스 및 IT 이해관계자가 사후 구현 검토에 참여했다: 참여는 검토의 포괄성을 높일 수 있지만, 실제로 교훈이 문서화되고 적용되었는지를 나타내지는 않습니다.

---

문제14:
IT 통제 목표를 충족하기 위한 IT 통제 설계를 주로 책임지는 사람은 누구입니까?
• A. IT 관리자(IT manager)
• B. 내부 감사인(Internal auditor)
• C. 비즈니스 관리(Business management) (정답)
• D. 위험 관리(Risk management)

👉 **비즈니스 관리(Business management)**가 IT 통제 설계의 주요 책임자입니다. IT 통제는 비즈니스 목표와 전략을 지원해야 하므로, 통제 설계는 비즈니스 요구를 가장 잘 이해하고 이를 IT 프로세스와 정렬할 수 있는 비즈니스 관리의 책임입니다. 이들은 IT 통제가 조직의 운영, 규정 준수, 리스크 완화 목표를 충족하도록 설계되도록 주도합니다.

나머지 항목이 오답인 이유:
• A. IT 관리자(IT manager): IT 관리자는 통제 설계의 기술적 구현을 담당하지만, 설계의 목표와 방향을 설정하는 주요 책임자는 아닙니다.
• B. 내부 감사인(Internal auditor): 내부 감사인은 통제가 효과적으로 설계되고 운영되고 있는지 독립적으로 평가하며, 설계 자체를 주도하지는 않습니다.
• D. 위험 관리(Risk management): 위험 관리는 리스크를 식별하고 완화 전략을 제안하지만, 통제 설계를 직접적으로 책임지지는 않습니다.

---

문제15:
다음 중 IS 감사원의 독립성에 가장 큰 영향을 미칠 수 있는 요인은 무엇입니까?
• A. IS 감사에서의 이전 경험
• B. 공급업체와의 이전 관계
• C. 기술에 대한 사전 지식
• D. 이전 직무 책임 (정답)

👉 **이전 직무 책임(Prior job responsibilities)**이 감사원의 독립성에 가장 큰 영향을 미칠 수 있습니다. 감사원이 이전에 감사 대상과 동일한 역할이나 업무를 수행했다면, 감사 대상에 대한 편향된 관점을 가질 가능성이 높아지며, 감사의 객관성과 공정성을 저해할 수 있습니다. 이는 이해 상충이나 독립성 손상의 주요 원인이 될 수 있습니다.

나머지 항목이 오답인 이유:
• A. IS 감사에서의 이전 경험: 감사 경험은 감사 품질을 높이는 데 유용하며, 독립성에 부정적인 영향을 미치지 않습니다.
• B. 공급업체와의 이전 관계: 공급업체와의 관계가 감사 대상과 직접적으로 연관되지 않는 한, 독립성에 미치는 영향은 상대적으로 적습니다.
• C. 기술에 대한 사전 지식: 기술 지식은 감사 활동의 효율성과 효과성을 높이는 데 필수적이며, 독립성을 손상시키지 않습니다.